TDOHacker

- **在SWIFT系統上執行自我檢查**

- **檢查否有異常檔案、異常連線**

- **SWIFT資料庫是否有大量失敗事件**

- **系統日誌是否有應用程式的錯誤事件與異常登入事件**

- **主動偵測異常程式或檔案**
    > 利用白名單系統(如SafeLock)可以主動偵測是否有異常的程式被執行起來。或是檔案異動監控系統(如DeepSecurity)，
    可 以主動偵測是否有不正常的檔案被寫入重要目錄中。透過這類主動偵測，可以及早發現駭客入侵的跡象。

- **監控駭客內網擴散的活動**
    > 在SWIFT系統上，透過DeepSecurity的DPI功能，偵測駭客內網擴散的活動或行為，以此次銀行攻擊案例來說，
    駭客透過遠端排程工作，在目標主機上建立排程工作。此類內網擴散的攻擊事件可被DeepSecurity或
    DDI(Deep Discovery Inspector)偵測。 除此之外，跟SWIFT同網段的電腦也必須監控是否有異常的活動，
    一旦同網段電腦被入侵，SWIFT系統的風險也會大增。透過DDI(Deep Discovery Inspector)過濾重要網段的流量，
    除了可以偵測內網擴散活動，也可以偵測C&C連線，以及惡意程式的傳送。

- **SWIFT等重要系統應在隔離網段作嚴密保護**
    > SWIFT等重要系統應在隔離網段作嚴密保護

    由於SWIFT系統的重要度極高，也因此安全的措施也應相對提高，建議可以考慮下列安全措施：

   >SWIFT系統不要加入Domain，具有Domain Administrator權限的管理員一直都是駭客攻擊目標，
   一個帳號的密碼或登入憑證被竊，所有電腦都可能被入侵。

   >較嚴格的存取控制，SWIFT系統應該在隔離網段，並且限制只有特定電腦才能存取SWIFT系統，以降低受駭的風險。

   >定期掃毒並安裝安全性更新
    目前OfficeScan只要更新至最新病毒碼13.319.00，就可以偵測SWIFT攻擊相關的惡意程式。偵測名稱如下，
    若發現任何電腦 上偵測到下列病毒，請馬上執行處理及調查。

    - **惡意程式清單**
    BKDR_FIMLIS.A 
    TROJ_BANSWIFT.SWI 
    TSPY_ALSOF.A
    TSPY_BANKER.NTE
    TROJ_GEN.R047C0ELE16
    TSPY_BANKER.YWNSZ
    TROJ_FAKEMS.SWI 
    TROJ_BANSWIFT.SWI  
    BKDR_SCADPRV.B  
    TSPY_BANKER.SWI
    TSPY64_BANKER.YWNQD  
    TSPY_BANKER.SWI
    TROJ_RATANKBA.A
    HKTL_NBTSCAN.GA
    BKDR_DESTOVER.ADU